Un membre du Project Zero de Google - qui regroupe des dénicheurs de failles de sécurité émérites - fait parler de lui ces derniers temps du côté des antivirus. Après ESET et Kaspersky Lab, Tavis Ormandy pointe du doigt Avast.
Il a en effet découvert dans l'antivirus Avast une vulnérabilité de sécurité permettant à des attaquants d'obtenir des privilèges pour une exécution de code à distance. Tavis Ormandy fait allusion à une attaque de type man-in-the-middle via l'analyse d'un trafic de données pourtant chiffré. La faute à la manière dont Avast traite de mauvais certificats X.509.
Tavis Ormandy a publié une habituelle preuve de concept avec l'exécution de la calculatrice Windows dans le contexte du processus AvastUI. Jugée critique, la vulnérabilité a été signalée à Avast le 25 septembre. Un patch a été déployé le 1er octobre.
Avast a donc été réactif, sachant que la politique du Project Zero est une divulgation publique au-delà d'un délai de 90 jours après signalement d'une vulnérabilité à l'éditeur concerné. Pourtant, Tavis Ormandy s'est un peu pris le bec - c'est un coutumier du fait - avec un responsable d'Avast. Il considère que c'est un miracle que des attaquants n'ont pas mis au point des vers ciblant les produits d'Avast.
